證券商因應嚴重特殊傳染病申請居家辦公指引 英
Guidelines for the Work-From-Home Application by Securities Firms in Response to Severe Communicable Diseases
壹、證券商啟動居家辦公之條件 證券商除遇有下列情形外,應優先啟動另覓營業處所辦公(含異地備 援營業處所): 一、配合中央流行疫情指揮中心發布重大疫情事件(例如社區感染)。 二、營業處所員工有發生確診病例。 三、營業處所有主要承辦業務者及代理人須居家隔離、居家檢疫或自主健 康管理。
貳、證券商申請居家辦公之申請流程及申請書件 一、證券商申請流程 (一)證券商申請居家辦公屬受託買賣作業及交易作業、自行買賣作業及 交易作業、結算及申報作業等業務,應依本公司「證券商因應嚴重 特殊傳染性肺炎(COVID-19)事件相關措施」一、(五)辦理,向 本公司申請以專案方式轉報主管機關核准,惟為縮短申請程序,證 券商可備妥相關書件向本公司申請預先審查,若遇緊急情況發生時 (例如封城、員工確診病例),致無法循正常程序函報申請,則可 採特殊個案方式(例如以電子郵件)向本公司申請再轉報主管機關 核准。 (二)證券商申請居家辦公,如非屬受託買賣作業及交易作業、自行買賣 作業及交易作業、結算及申報作業等業務,應檢具相關申報書件( 包括居家辦公期間、人員配置、業務項目及管控措施),於居家辦 公前或居家辦公之日起 3 日內向本公司申報備查。 二、申請書件 證券商申請居家辦公,應事先提具應變計畫及案件檢查表(附件), 向本公司專案申請,前述應變計畫應包含下列事項: (一)使用期間:申請居家辦公之使用期間不得超過三個月,但有正當理 由,得於期限屆滿前向本公司申請以專案方式轉報主管機關核准延 展三個月。 (二)人員配置:人員姓名、居家地址等資料,且須指定高階經理人為與 本公司聯繫之窗口,如有異動應事先向本公司申報備查。 (三)業務項目:居家辦公之業務範疇僅限申請辦理部分(例如:交易、 結算)。如僅申請居家辦理交易業務,則未申請之結算業務僅能在 營業處所執行,如需異動仍應向本公司申請以專案方式轉報主管機 關核准。 (四)作業方式及程序:居家辦公之作業方式及程序,須明確敘明與營業 處所辦公之差異。 (五)管控措施: 1.公司對於居家辦公員工之活動、通訊須建立監理措施,居家從事 活動僅限於公司核可之範圍,並強化審查居家辦公員工個人交易 行為(包括委託買賣等相關之通訊及活動,應明訂控管方式); 另負責審查監理居家辦公員工活動人員,原則上不得居家辦公, 但其居家辦公無礙執行審查監理作業時,不在此限。 2.公司對居家辦公者應充分告知其權益及義務,並充分說明法令遵 循之重要性。 3.公司應對客戶隱私、資料及記錄之安全性等採行保護措施,並明 訂管控措施。 4.公司必須確認客戶身分(例如接受下單時),並對客戶帳戶提供 強化之管控措施。 5.公司應將居家辦公之摘要事項,公告於公司網站(首頁),並協 助客戶瞭解公司營運情況及可能交易中斷風險等事宜。 (六)測試報告:公司須先測試居家辦公之遠距連線系統,並確保員工僅 能透過安全連線至公司系統。 (七)資安措施: 1.公司須定時更新虛擬專用網路(VPN;Virtual Private Network )連線和其他遠距連結系統之安控措施、採多因子身分驗證機制 及教育居家辦公者應對網路風險保持警覺等。 2.公司須建立安全的遠距網路通道,且限制僅能由公司員工登入連 線,設備操作軌跡應保有完整紀錄,並依據員工職掌作業時間訂 定可開放連線時段相關規範。 (八)出具「建立證券商資通安全檢查機制」聲明書。 (九)防範利益衝突及違規之相關措施:就居家辦公者訂定完整且明確之 防範利益衝突及違規之相關措施。 (十)董事會議事錄(董事會同意居家辦公)或由總公司或集團所屬區域 中心出具之同意書代替。
參、證券商居家辦公之配套管控措施 一、受託買賣作業及交易作業 (一)受託買賣業務人員從事業務時,應本誠實及信用原則執行業務,避 免不當利用未公開資訊,或有利益衝突之情事。 (二)居家使用之個人電腦應由公司統一配發,若使用非由公司提供之個 人電腦,則於事前應先經公司核准及進行資訊安全檢測,相關電腦 設備於居家辦公期間僅得做為公務使用。 (三)居家辦公者應透過虛擬專用網路(VPN )連線並依使用權限登入後 ,始得辦理交易作業。所有使用者登入系統及交易紀錄應留存詳實 軌跡。 (四)多因子驗證機制:為提高使用操作安全,個人帳號密碼應輔以多因 子驗證機制(員工帳號密碼、動態密碼、一次性帳密)之雙認證機 制,以確認使用者身分。 (五)委託人委託電話須撥至營業處所,再轉接至受託買賣業務人員手機 或居家電話(由公司設備錄音)。如公司現行設備無法全程錄音, 再採行由業務人員手機或自行錄音,並輔以下列措施:業務人員下 單後須儘速將委託時間及內容,致電公司錄音設備進行錄音存檔或 電郵公司及客戶。 (六)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者之錄 音紀錄,業與留存於營業處所之錄音相符並可區分為居家辦公。 (七)受託買賣業務人員透過 VPN 連線至公司的個人電腦之下單系統, 委託人買賣額度依現行機制控管。 (八)居家辦公員工個人交易行為之控管方式,包括委託買賣等相關之通 訊及活動等,應有明確之作業方式及管控方式。 二、自行買賣作業及交易作業 (一)自行買賣業務人員從事業務時,應本誠實及信用原則執行業務,避 免不當利用未公開資訊,或有利益衝突之情事。 (二)自行買賣業務人員居家使用的個人電腦應由公司統一配發,並依人 員從事業務安裝適當之硬體及軟體進行管控。 (三)居家辦公者透過虛擬專用網路(VPN )連線並依使用權限登入後始 得辦理交易作業。所有使用者登入系統及交易紀錄應留存詳實軌跡 。 (四)多因子驗證機制:為提高使用操作安全,個人帳號密碼應輔以多因 子驗證機制(員工帳號密碼、動態密碼、一次性帳密)之雙認證機 制,以確認使用者身分。 (五)公司應於交易員之居家辦公空間設有足夠的電腦螢幕。另應設置視 訊設備及耳機,在交易時間保持暢通並全程視訊錄影且留存紀錄。 (六)交易員於交易時間須全程連線視訊設備且於交易時間須全程保持各 溝通管道連線狀態,若於交易進行中交易員有連線中斷之情事,系 統應有關閉交易之功能。 (七)非交易時段關閉系統:如居家辦公者係負責日盤下單,日盤收盤後 之非交易時段應即關閉交易系統,禁止該等人員登入系統交易。 (八)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者有關 交易之錄音紀錄,業與留存於營業處所之錄音相符並可區分為居家 辦公。 (九)公司就已成交部位之風險曝險情形,營業處所辦公及居家辦公應皆 能進行交易額度及部位風險之控管。 (十)居家辦公者之個人交易行為控管方式:公司得依據公司管理政策, 審慎評估後,自行決定開放或禁止居家辦家者之個人交易行為。如 採開放政策,居家辦公員工個人交易行為之控管方式,應涵蓋委託 買賣相關之通訊及活動等,皆須有明確之作業方式及管控方式(例 :電話下單須全程錄音、由公司配發電腦進行電子式下單應全程側 錄等)。 三、結算及申報作業 (一)證券商應依本公司營業細則及相關規定完成結算交割作業,各項結 算作業及依法規所需申報事項皆應完成,原則上應於營業處所(含 異地備援營業處所)處理,或轉由居家辦公協助處理。 (二)委託人履行交割款項作業、信用交易之非交易作業部分(例如追繳 、現償、還券)及借券、撥券作業,原則上應於營業處所(含異地 備援營業處所)處理,或轉由居家辦公協助處理。 (三)申請者如原未申請居家執行結算業務,則結算交割業務僅能於原營 業處所執行,如申請後因原營業處所被隔離須轉由居家辦公者處理 結算交割業務者,仍應向本公司申請以專案方式轉報主管機關核准 。 四、資訊安全 (一)居家辦公者所使用之電腦設備(含筆記型電腦及平板電腦),不得 自行擴充及安裝非公務所需之軟/硬體設備及工具。 (二)所有居家辦公者使用者登入重要系統及交易紀錄應留存詳實軌跡。 (三)居家電腦只能鍵入資料,不得透過居家使用之電腦存取公司電腦設 備資料。 (四)居家辦公者電腦設備應安裝特定資安軟體,控管應用程式存取權限 ,並關閉電腦上非必要之服務及作業系統權限,關閉該設備使用 USB 、藍芽和光碟功能,VPN 設備設定雙向禁止拷貝與傳輸檔案功 能,降低資訊外流風險。 (五)運用傳輸安全協定虛擬專用網路(SSL-VPN )和多因子驗證機制( 員工帳號密碼、動態密碼、一次性帳密),建立安全的遠距網路通 道,且限制僅能由公司員工登入連線,設備操作軌跡應保有完整紀 錄,並依據員工職掌作業時間訂定可開放連線時段相關規範。 (六)透過防火牆來阻擋惡意或未經授權之連線,並以最小權限原則設定 規則及關閉非必要之埠號,並應監控網路流量及異常警告及中斷連 線機制。 (七)系統功能開放居家辦公應有差異化權限控管設計,以最小權限設定 ,關閉非必要之系統功能授權,系統應依使用者進行差異化管理。 居家辦公之電腦,使用者應依公司風險政策授予差異化之使用權限 ,居家辦公者僅能有執行業務必要之功能權限。 五、防範利益衝突及違規 (一)居家辦公者不得在公共空間,必須在獨立的空間進行業務之執行且 交易時間他人不得進入,以確保交易訊息的保密性。 (二)居家辦公者必須妥善保存任何依主管機關、本公司及各該公司要求 與交易有關之紀錄。 (三)公司應指派高階經理人擔任監督主管,負責於交易時間進行相關監 控措施。 六、證券商居家辦公之各項作業應納入內稽內控查核,並落實內部控制制 度之執行。